:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/80/26/80265994f085266e897ba57fed424cd6/0118125643.jpeg "In Microsoft Defender 365 können Admin Antiphishing-Richtlinien erstellen, mit denen die Nutzer vor Phishing-Angriffen geschützt werden. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/22/2c221d3bce3e8749e3411de268f159a3/0118122426.jpeg "Die Untersuchungen von Onapsis und Flashpoint zeigen seit 2021 einen 400-prozentigen Anstieg der Ransomware-Vorfälle, bei denen SAP-Systeme und -Daten kompromittiert wurden. (Bild: Suttipun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/ec/4aecde45d02fb40d609e7886d80e67d3/0117538366.jpeg "Wie die Ergebnisse der "Pulse Survey" von Logz.io zeigen, werden die Möglichkeiten von Observability häufig noch nicht optimal genutzt. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/69/d2/69d2de7f33a97a27055845e9d7dcb799/0117525077.jpeg "Check Point erweitert seinen generativen KI-Service um die LLMs (Large Language Models) von Microsoft. (Bild: Check Point)")
:quality(80)/p7i.vogel.de/wcms/43/46/4346dc396e249b316c29b7dab6c5ba7c/0118038905.jpeg "BurpGPT stellt im Betrieb eine Verbindung zwischen der Burp Suite und dem OpenAI-API her und nutzt dann die angebotenen Dienste, wie beispielsweise GPT-4, um die in Penetrationstests mit der Burp Suite gesammelten Daten zu analysieren. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/92/5d923b1250ffeeda6d93887bbef003e7/0117906448.jpeg "Damit Mitarbeiter nicht der Risikofaktor Nummer eins für KMU sind, müssen sie umfangreich geschult sein. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/7a/f17a79abfbf000f5ad34bfc92686aa4d/0117931419.jpeg "Lacework hat seine Enterprise-Funktionen ausgebaut und sorgt dafür, dass Sicherheitsexperten die nötigen Informationen schnell und verständlich aufbereitet erhalten. (Bild: Screenshot / Lacework)")
:quality(80)/p7i.vogel.de/wcms/2d/e7/2de78df0c7703fca038339b45210eaa0/0118053665.jpeg "Das BSI nimmt sich des Themas E-Mail-Sicherheit verstärkt an und gibt deutlich präzisere Empfehlungen und Richtlinien heraus. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/04/4c04eddbad878ef9eb3ef187a961d82c/0117769262.jpeg "Je höher man die Hürde legt, desto schwieriger wird der Identitätsdiebstahl. (Bild: elenabsl - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/02/73029382ea8aaa6cfd9fd377bfe39dc8/0118117985.jpeg "Informationssicherheitsbeauftragte, Mitarbeiter von Landes- und Kommunalverwaltungen bzw. deren Institutionen oder Einrichtungen (z. B. kommunale IT-Dienstleister) waren am Kongress beteiligt. (©sizsus – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/33/083390607348b238f231a5a5099e3527/0118037449.jpeg "Der Schwerpunkt der diesjährigen Sophos Management-Studie ist die Relevanz der Cybersicherheit in Chefetagen und ob die Sicherheit auch als Wettbewerbsvorteil eingestuft und genutzt wird. (Bild: Rido - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/3d/a6/3da608aeebe82e525855b876087b22bd/0116955923.jpeg "Project Zero ist ein Google-Team von Sicherheitsexperten, das auf der Suche ist, nach Zero-Day-Schwachstellen in Hard- und Software. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
„Pain Points“ beim Berechtigungsmanagement Probleme beim Management von Benutzerrechten
Die Verwaltung von Benutzerkonten und Zugriffsrechten ist kein so spannendes Aufgabenfeld wie zum Beispiel die Planung des ersten Einsatzes einer KI-gesteuerten Software im Unternehmen. Trotzdem ist Management und Kontrolle von Zugriffen allgegenwärtig und leider viel zu häufig von unterschätzter Wichtigkeit.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Die Rechteverwaltung selbst ist keine komplexe Angelegenheit, tatsächlich sind die notwendigen Arbeitsschritte größtenteils Routine-Aufgaben, doch genau hier liegt ein Risiko. In einer von SolarWinds durchgeführten Umfrage wurden die drei größten „Pain Points“ definiert, die im nachfolgend näher beleuchtet werden.
1. Das Verschieben, Hinzufügen oder Verändern von Berechtigungen
24 Prozent der Befragten führten das Verändern von Berechtigungen als größten Pain Point auf, was dem dafür notwendigen Zeitaufwand geschuldet ist. Unternehmen arbeiten heute viel dynamischer als in der Vergangenheit. Ebenso werden für viele Aufgaben externe Ressourcen hinzugezogen. Und diese Dynamik erfordert stete Veränderungen an Benutzerrechten und -rollen.
Über viele Jahre wurde die Verwaltung von Benutzern und deren Berechtigungen innerhalb von Active Directory® (AD) mit dem Bordwerkzeug „Active Directory-Benutzer und -Computer“ durchgeführt. Später unterstützte das das „Active Directory-Verwaltungscenter“ weitere Attribute, die im Laufe der Jahre hinzugefügt wurden. Beide Tools sind noch vorhanden, aber die Standardaufgaben werden mittlerweile über PowerShell® durchgeführt. PowerShell ermöglicht Automatisierung – Benutzernamen, Rollen und Berechtigungen werden als einfach Variablen eingepflegt. Für die klassischen Szenarien wie das Aufschalten eines Ordnerzugriffs oder das Verschieben in eine andere Gruppe gibt es vorgefertigte Scripts zu Hauf zu finden in verschiedenen PS-Repositorien, kostenlos und getestet.
Viele Administratoren pflegen ihre eigenen Repositorien, um gleich weitere Aufgaben mit dem gleichen Script erledigen zu können, wie etwa das Anlegen eines Kontos bei einer Drittanbieter-Lösung, vielleicht einem Webportal, das von den Mitarbeitern genutzt wird. Das Erstellen und Pflegen der Scripts erfordert viel Sachverstand, welcher sich häufig erst über einen längeren Zeitraum angeeignet werden muss.
Weitere Hürden sind oft hausgemacht. Wenn keine ordentliche Gruppenstruktur vorhanden ist und Berechtigungen einzeln vergeben werden, stößt PowerShell ebenso schnell an Grenzen wie in sehr großen Umgebungen, in denen die schiere Anzahl an „Organizational Units“ schon Komplexität erzeugt. Ein geeignetes Werkzeug minimiert die Komplexität nicht nur, sondern beschleunigt die Erledigung der Aufgaben und beseitigt Fehlerquellen, die bei manuellem Bearbeiten aufkommen.
Am Beispiel von SolarWinds Access Rights Manager (ARM) wird die Durchführung des Benutzerbereitstellungsprozesses in drei Phasen zusammengefasst, die als Joiner, Mover und Leaver bezeichnet werden:
- In die Joiner-Phase fällt der Onboarding-Prozess. Dazu gehört die Bereitstellung eines neuen Benutzerkontos inklusive aller notwendigen Berechtigungen bis hin zu Dateifreigaben und dem Anlegen von Konten in anderen Systemen.
- In der Mover-Phase wechseln Mitarbeiter beispielsweise in eine andere Abteilung und es können die Zugriffsrechte widerrufen oder unmittelbar vom Dateneigentümer erteilt werden.
- Schließlich, in der Leaver-Phase, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet, informiert die Personalabteilung den Helpdesk.
2. Die Durchführung eines Audits und der Nachweis der Konformität
Weitere 24 Prozent der Befragten sehen die Durchführung eines Audits als Herausforderung. Im Hinblick auf die aktuellen Anforderungen durch das IT-Sicherheitsgesetz 2.0, aber auch klassisch nach dem BSI IT-Grundschutz, muss der Aufwand zum Schutz der Sicherheit der Daten sowie der IT generell betrieben werden. Die Dokumentation dazu ist leider keine sehr erfüllende Aufgabe und wird gerne vernachlässigt, was bei einem Audit zu Problemen führen kann.
Ein Security-Audit benötigt Vorarbeit. Audit-Richtlinien, etwa zum Objekt-Zugriff, müssen gesetzt sein damit Events gesammelt werden können. Im Idealfall werden die Events von einer zentralen SIEM Lösung gesammelt, welche sinnvolle Berichte zur per Mausklick generieren kann.
Mitunter erschweren mitgliederlose Gruppen oder lokale Konten in AD die Verwaltung und können Audits verlängern. Verschachtelte oder rekursive Gruppenmitgliedschaften können zusätzlich zur Unübersichtlichkeit und Komplexität beitragen. Indem man komplizierte Konfigurationen von AD-Gruppenmitgliedschaften vor Audits bereinigt, lässt sich der gesamte Compliance-Prozess optimieren.
Temporäre Konten, die nicht mehr benötigt, aber auch nicht gelöscht werden und inaktiv bleiben, setzen das Unternehmen Risiken aus und machen Audits und Bewertungen unnötig kompliziert. PCI DSS 8.1.4 erfordert sogar, dass temporäre oder inaktive Konten innerhalb von 90 Tagen gelöscht oder deaktiviert werden. Denn ungenutzte oder inaktive Konten werden gerne von Angreifern ausgenutzt, die damit unter dem Deckmantel eines autorisierten Benutzers Daten stehlen und manipulieren.
Im Internet sind zahlreiche kostenlose Tools zu finden, die beispielsweise jederzeit effektive Berechtigungen einzelner Konten anzeigen. Das ist sinnvoll, um einen einzelnen Datensatz zu überprüfen, auch für den Helpdesk falls gerade an einem Ticket gearbeitet wird. Für einen Audit benötigt es jedoch mehr Tiefe, wie Berichte zu beliebigen Gruppen, Benutzern oder Ressourcen, sowie historischen Informationen über Zugriffe und Veränderungen.
Für Active Directory allein sind Berichte der folgenden Kategorien empfehlenswert:
- Worauf können Benutzer und Gruppen zugreifen
- Welche Mitarbeiter verwaltet ein Manager
- Benutzerkonten Detail-Ansicht
- Inaktive Konten
- OU Mitglieder und Gruppenmitgliedschaften
- Veränderungen an Benutzern und Gruppen
- Lokale Konten identifizieren
Reporte sollten mit weiteren Filtern versehen werden können, um nach bestimmten Benutzern oder einer Kombination von Gruppen und Ressourcen zu suchen. Zertifizierte Auditoren sind im Umgang mit gängigen Tools vertraut und können sich in kürzester Zeit selbst die notwendigen Berichte erstellen, oder nutzen ad-hoc Funktionen, um gezielte Cross-Checks durchzuführen.
Nach dem Anlegen notwendiger Berichte ist es eine gute Idee, diese zu automatisieren, um zeitnah Ereignisse und Änderungen zu identifizieren. Damit können böse Überraschungen beim Audit vermieden werden, aber auch ernstzunehmende Zwischenfälle aufgedeckt werden.
3. Das Verstehen von rekursiven Gruppenmitgliedschaften
Das Verständnis der rekursiven Gruppenzugehörigkeit wurde als dritter Pain Point in der Rechteverwaltung von 21 Prozent der Befragten genannt.
Gruppen haben nicht nur Konten als „Kinder,“ sondern unter Umständen auch weitere Gruppen. Verschachtelte Gruppen sind sinnvoll und notwendig, aber auch schwer überschaubar und es kann über mehrere Gruppen hinweg dazu kommen, dass ein Ring entsteht und eine Untergruppe das eigene Elternteil darstellt. Dadurch kommt es zur Situation, dass jedes Mitglied dieses Konstruktes alle Berechtigungen aller Gruppen bekommt.
Mit Boardmitteln („Mitglied von“) kann man diese über eine Tiefe von zwei, vielleicht drei Stufen noch manuell überblicken, aber in der Realität hat man es meistens mit größeren Versionen zu tun, und die Nachvollziehbarkeit individueller Berechtigungen ist nicht mehr gegeben.
Verschiedene Werkzeuge auf dem Markt sind in der Lage, das gesamte Konstrukt zu erkennen und an beliebiger Stelle aufzubrechen, um dem Administrator eine Übersicht samt möglicher Lösungen zu bieten.
Fazit
Berechtigungsmanagement ist auf Grund der Dynamik von Unternehmen sehr zeitintensiv und fehleranfällig und konkurriert mit dem Anlegen und Pflegen einer Dokumentation zur Vorbereitung auf ein Audit um die knappen Ressourcen im IT-Team. PowerShell Scripts können helfen, benötigen jedoch weiteren Sachverstand und sind nicht ohne Anpassungen und nicht in jeder Situation einsetzbar. Die in der Umfrage genannten Probleme sind nicht neu, daher gibt es verschiedene Lösungen auf dem Markt, um dem Administrator den Alltag zu erleichtern.
Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.
(ID:46323909)
:quality(80)/p7i.vogel.de/wcms/59/e1/59e150603eb4eb7ef8b5faf129377d5e/0114073000.jpeg "Wer wann über welches Gerät und von wo aus Zugriff auf Unternehmensressourcen hat, ist heute wichtiger denn je. Diese Steuerung übernehmen in der Regel IAM-Lösungen, die aber meist extrem komplex sind. Einfacher in allen Punkten sind hochintegrierten IAM-Lösungen. (Bild: © blacksalmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/b2/73b2fe6b59d0f52162922e616cddeddb/0116973088.jpeg "Mit der Modernisierung ihres Active Directory sind Unternehmen nicht mehr ausschließlich auf dessen native Sicherheitsfunktionen angewiesen. (Bild: wladimir1804 - stock.adobe.com)")